【发布时间】:2017-10-27 09:43:14
【问题描述】:
在对 OneLogin 维护的 php-saml 进行简短的代码审查后,似乎 php-saml 在初始化 SSO 时不支持 HTTP-POST 请求从 SP 发送到 IdP。
这是正确的还是我遗漏了什么?
如果初始请求不支持 HTTP-POST:
- 难道我们不应该担心 IdP 可能会响应“错误 413:请求实体太大”吗?
- 通过 GET 发送请求对信息安全的影响如何?
非常感谢您提供更多见解!
【问题讨论】:
在对 OneLogin 维护的 php-saml 进行简短的代码审查后,似乎 php-saml 在初始化 SSO 时不支持 HTTP-POST 请求从 SP 发送到 IdP。
这是正确的还是我遗漏了什么?
如果初始请求不支持 HTTP-POST:
非常感谢您提供更多见解!
【问题讨论】:
在 SAML“POST 绑定”中,没有从 SP 向 IDP 发出直接 POST 请求(反之亦然)。 SP 使用客户端的浏览器作为管道将 SAML 消息传递给 IDP(当 IDP 响应时也会发生同样的情况)。
阅读更多this answer
通过查看 php-saml 库,它看起来支持 POST 绑定。
关于信息安全影响 - 如果您在 SAML 请求中传递敏感数据,您可以采取几项措施来提高安全性:
【讨论】: